Тактики атак хакерских группировок

[HiddenHand]

Салют, бандиты!

Взлом компьютерных систем может происходить по-разному — от изощренных атак со взломом сетевых компонент до технически примитивных техник типа компрометации деловой переписки.

В этом посте мы разберём тактики, которые используют самые опасные хакерские группировки — Lazarus, Pawn Storm, Cobalt, Silence и MoneyTaker.

Один из важнейших критериев выбора хакерских инструментов, помимо степени владения ими участников группировки, — это эффективность. Современные кибератаки — сложные многоступенчатые операции, проведение которых требует много времени и серьёзных финансовых ресурсов. Если проникновение в систему не удастся, вся предварительная работа и затраты окажутся напрасными.

Таким образом, тактики проникновения в системы, которые используют ведущие группировки, можно рассматривать в качестве наиболее эффективных.

В числе таких тактик следует выделить:

1. все виды фишинга — классический, целевой, фишинг через социальные сети, tabnabbing;

2. атаки на цепочки поставок;

3. атаки типа Watering Hole («водопой»);

4. атаки через уязвимости сетевого оборудования и операционных систем;

В простейшем варианте фишинг — это обычный емейл, в котором содержится вредоносное вложение или ссылка. Текст письма составлен таким образом, чтобы убедить получателя выполнить нужные отправителю действия: открыть вложение или перейти по ссылке, чтобы сменить пароль.

Письма, отправленные коллегами или руководителями, вызывают больше доверия, чем послания от незнакомцев, особенно если оформление письма соответствует принятому в компании стилю. В связи с этим подготовительный этап киберкампании, использующей фишинг, обязательно включает в себя сбор сведений о структуре организации, списка сотрудников и их емейлов, а также реальных писем, содержащих элементы оформления.

Группировка Silence использует для проникновения самый обычный фишинг с небольшим нюансом: её кампании обязательно включают тестовый этап с рассылкой безвредных писем для проверки актуальности собранной базы адресов. Это позволяет повысить эффективность атаки, рассылая письма с вредоносной нагрузкой по выверенной базе получателей.

Группировка Pawn Storm также использует фишинговые рассылки, а для повышения их эффективности в них добавляется такой усилитель воздействия, как авторитет. В связи с этим подготовительный этап их кампании включает так называемый High-Credential Phishing — хищение учётных записей высокопоставленных лиц. Собрав достаточное количество таких данных по целевой организации, Pawn Storm проводит рассылку от лица этих персон, «зарядив» их полезной нагрузкой, обеспечивающей успешное достижение цели.

В арсенале приёмов Fancy Bear есть ещё один, не слишком известный, — подмена легального сайта на фишинговый во вкладках браузера — tabnabbing, описанный Азой Раскиным из Mozilla в 2010 году.

Атака tabnabbing выглядит следующим образом:
жертву заманивают на безобидный сайт, который контролируется злоумышленником;

Хакеры Lazarus не размениваются на мелочи, предпочитая бить точно в цель. Их оружие — целевой фишинг по почте и в социальных сетях. Выбрав подходящего для своих задач сотрудника компании, они изучают его профили в соцсетях, а затем вступают с ним в переписку, которая, как правило, начинается с заманчивого предложения новой работы. Используя социальную инженерию, они убеждают его под видом чего-то важного загрузить вредоносную программу и запустить её на своём компьютере.

Часто случается, что целевая организация хорошо защищена, особенно если речь идёт о банке, военной или государственной организации. Чтобы не разбивать лоб о «бетонную стену» защитных комплексов, группировки атакуют контрагентов, с которыми взаимодействует их мишень. Скомпрометировав почту нескольких сотрудников или даже внедрившись в переписку, хакеры получают необходимую для дальнейшего проникновения информацию и возможность выполнить задуманное.

Например, группировка Cobalt проникала в банковские сети, атакуя системных интеграторов и поставщиков других услуг, а взломы разработчиков электронных кошельков и терминалы оплаты позволили ей с помощью собственной программы автоматически похищать деньги через платёжные шлюзы.

«Водопой», или Watering Hole, — одна из любимых тактик хакеров Lazarus. Смысл атаки состоит в компрометации легальных сайтов, которые часто посещают сотрудники целевой организации. Например, для сотрудников банков такими ресурсами будет сайт центрального банка, министерства финансов и отраслевые порталы. После взлома на сайте под видом полезного контента размещаются хакерские инструменты. Посетители загружают эти программы на свои компьютеры и обеспечивают атакующим доступ в сеть.

Среди взломанных Lazarus сайтов — польская Комиссия по финансовому надзору, Банк Восточной Республики Уругвай и Национальная банковская и фондовая комиссия Мексики.

Эксплуатация уязвимостей операционных систем и сетевого оборудования дают серьёзные преимущества, однако для этого требуются профессиональные знания и навыки. Использование эксплойт-китов без глубокого понимания принципов их работы быстро сведёт к нулю успех атаки: взломать взломали, но ничего не смогли сделать.

Атаки с применением уязвимостей характерны для группировок MoneyTaker, Lazarus и Pawn Storm. Первые две группы в основном используют известные ошибки в прошивках сетевого оборудования для внедрения в сеть компании своего сервера через VPN, через который проводят дальнейшие действия. А вот в арсенале Pawn Storm обнаруживаются опаснейшие уязвимости нулевого дня, для которых нет патчей; она проводит сканирование систем, в которых имеются известные уязвимости.

Атаки через DNS
Это семейство атак мы зафиксировали только у Pawn Storm. Другие известные группировки, как правило, ограничиваются фишингом и двумя-тремя альтернативными методами.

Pawn Storm использует несколько уровней DNS-компрометации. Например, известны случаи, когда они похищали учётные данные компании от панели управления DNS и меняли MX-серверы на свои, получая полный доступ к переписке. Вредоносный сервер принимал и передавал всю почту целевой компании, оставляя у себя копии, а хакеры могли в любой момент внедриться в любую цепочку и добиться нужного результата, оставаясь незамеченными.

Другой способ компрометации предполагал получение полного контроля над серверами DNS-регистратора. Во многих странах имеется лишь совсем небольшое число регистраторов, поэтому перехват управления над крупнейшими из них обеспечивал практически бесконечные возможности для внедрения в информационный обмен большинства государственных и частных организаций, фишинга и других видов воздействия.

Фишинг популярен не только у скрипт-киддис, арендующих доступ к вредоносным сервисам типа «Фишинг-как-Услуга» или «Вымогатель-как-Услуга». Эффективность и относительная дешевизна этого метода сделала его основным, а иногда и единственным оружием самых опасных группировок. Богатство вариантов его использования играет на руку преступникам: перед компрометацией деловой переписки пасуют большинство защитных решений, а доверчивость и рассеянность пользователей ещё долго будет надёжной опорой для мошеннических атак.

Защита компьютерных систем и сетевого оборудования — несомненно, важная задача наряду со своевременной установкой обновлений безопасности, однако с учётом хит-парада киберпреступных тактик на первое место выходят меры, связанные с защитой от человеческого фактора.

Однако защитные системы также не стоят на месте, обнаруживая вредоносные действия с помощью искусственного интеллекта, глубокого обучения и нейросетей. Разработки такого класса проводят многие компании, и мы также предлагаем нашим клиентам защититься от изощрённых BEC-атак с помощью специально обученного искусственного интеллекта. Их использование совместно с тренировкой сотрудников навыкам безопасного поведения позволит успешно противостоять кибератакам даже самых технически подготовленных группировок.

Всем спасибо за внимание!